技術の進化で障壁が下がってしまったサイバー攻撃
テクノロジーの進化や高度化にともない、セキュリティ対策のパラダイムシフトが加速している。中でも注視すべきは、生成AIを含むAI技術の普及だ。
AI活用の「民主化」が進んだことは企業に多くの恩恵をもたらしているが、一方で攻撃側のハードルが下がるという負の側面も生み出している。数年前まで、情報システムに対して攻撃を仕掛けるためには、ある程度の知識とスキルが必要だったが、今では専門知識がない人でも容易に攻撃ができる時代となっているのだ。
「海外ではわずか5歳の子どもがサイバー攻撃に加担した事例があり、最近ではサイバー攻撃を代行するオンラインのサービスまで登場しています。実際、2024年末には国内でも中学生2人がそうした代行サービスを利用し、自分が通っている学校に関係するWebサイトに攻撃を仕掛けたとして、書類送検や児童相談所への通告が行われる事案が起こっています」。こう語るのは、キンドリルジャパンのコンサルティング&ソリューションデザイン事業部 セキュリティビジネス推進部 マネージャー/コンサルトパートナーの小林勝氏だ。
キンドリルジャパン株式会社 コンサルティング&ソリューションデザイン事業部
セキュリティビジネス推進部 マネージャー/コンサルトパートナー 小林勝氏
小林氏によると、サイバー攻撃の高度化だけでなく、攻撃の総量が急増していることも大きな課題であるという。ただでさえサイバー攻撃は攻撃側が有利な状況にあるのに対して、守る側の対応がまったく追い付いていないのが実情だ。
AIモデルそのものへの攻撃手法も
とはいえ、AIを社会の害悪として遠ざけるのは早計だ。逆にAIを防御の手段として積極的に活用することで企業側にも大きなメリットをもたらすのだ。実際に侵入した脅威の検出や分析などで、既に様々なセキュリティ製品がAI機能を取り入れている。
「たとえば、多くの企業が慢性的なセキュリティ人材不足に悩んでいますが、AIを活用することで、その不足部分を補うことができます。複数のインシデント情報をAIが相関的に分析し、起こっている状況を説明するとともに取るべき対策をアドバイスし、さらに上層部への展開レポートまで自動的に生成してくれる時代です。セキュリティ対策で最重要とされる初動対応にも大きな効果を発揮します」(小林氏)
もちろん、すべてをAI任せにして、導き出される回答を鵜呑みにしてしまうのも危険である。AIは間違った情報を生成する可能性もあるからだ。実際にAIに誤った回答を導かせるために、企業が利用しているLLM(大規模言語モデル)自体を攻撃するといったサイバー攻撃の手法も存在する。そもそもオープンな生成AIサービスに対して、不用意に内部機密情報を入力することは、その行為自体が情報流出につながるリスクとなる。
すなわち、AIに限らずどんなテクノロジーについても、その特性を十分に理解した上で活用することが大前提である。「最終的な判断は必ず人が行うことが重要なポイントです。AIに関して言えば、サブ的なアドバイザーとして活用することで、非常に有用なツールとなります」と小林氏は強調する。
既存のセキュリティ対策を無効化する量子コンピューター
サイバー攻撃とセキュリティ対策の両面に大きな影響を及ぼすことが予想されるもう1つのテクノロジーとして、次に量子コンピューターへと話を移そう。
量子コンピューターは、その名のとおり量子の特性を利用したもので、「1と0が同時に存在する状態」を応用することで、一度に膨大な計算を実行できるようにするものだ。現行のコンピューターとは根本的に仕組みが異なるため、これまで年単位を要していたような処理も一瞬で終わらせることが実現できると考えられている。
実際、スーパーコンピューターを駆使しても解読に1万年くらいかかるとされていた暗号を、量子コンピューターがわずか200秒で解読してしまったというレポートもある。そんな量子コンピューター時代の到来を見据える中で、セキュリティ対策の観点から叫ばれているのが「暗号の2030年問題」である。
「量子コンピューターが実用化すると見込まれる2030年には、今一般的に使われている暗号化アルゴリズムや暗号を解くための鍵などを一瞬で解読されてしまうおそれがあり、情報の秘匿性が失われてしまうことが懸念されています」(小林氏)
未来のセキュリティ技術として注目を集める量子暗号や量子鍵配送
では、守り側は完全にお手上げになってしまうのかというと、決してそうではない。先ほどAIを悪用し攻撃にはAIで対応する意義を述べたとおり、量子コンピューターを悪用した攻撃には量子技術で対抗すればよいのである。
「たとえば、今実用化に向けて進められている量子技術に、量子暗号PQC(Quantum-safe Encryption)や、量子鍵配送(QKD)などがあります。量子暗号は究極の暗号と言われており、現時点では解読は絶対にできないと言われています。一方の量子鍵配送は、暗号化された情報を第三者がなんらかの方法で復号するための鍵を盗み出そうとすると、その鍵自体が無効になる仕組みです。どんなに離れた場所にあっても、一方の粒子の状態が変化すると、それに応じてもう一方の粒子の状態も瞬時に変化する量子エンタングルメント(量子もつれ)という特性を活かして、安全な鍵配送を実現します」(小林氏)
なお、量子技術の応用系として、「量子テレポーテーション」と呼ばれる技術の研究も進められている。量子もつれ状態にある複数の量子間で量子状態が同時に伝搬する現象を応用したもので、この技術が実用化すれば暗号鍵を瞬時に届けるだけでなく、安全にデータを転送することが可能になるという。
急がれる各国のセキュリティガイドラインや法規制への対応
ここまで述べてきたように、AIや量子コンピューターといったテクノロジーの進化と実用化にともない、新たなサイバーリスクが台頭してくるのはもはや不可避であり、これに対抗するためにセキュリティ対策のパラダイムシフトが加速していくことになる。
また、そのための備えとして、各国の政府や省庁、業界団体などがセキュリティ対策の底上げを目的とした様々なガイドライン、法規制などを発表している。
欧米をはじめとする諸外国と比べて取り組みの遅れが目立った日本も、各国と同程度までセキュリティ水準を高めるため、NIST(米国立標準技術研究所)のサイバーセキュリティフレームワークなどを意識したガイドラインの策定・展開を進めている。
当然、各企業としてもこの動きに対応した準備を怠ることはできない。
「2024年5月に施行された経済安全保障推進法に続き、たとえば金融庁も新たなセキュリティガイドラインを策定し、ゼロトラストモデルを金融分野にも取り入れるように指導しています。重要なことは、今やれることから確実にやっておかなければ、AIや量子コンピューターを悪用した新たなサイバー攻撃のリスクにも対応できないことです。セキュリティ対策のあるべき姿は、一足飛びには実現できません」(小林氏)
現実問題として、サイバーセキュリティに関する主要なガイドラインや法規制への対応の遅れは、経営リスクに直結することを忘れてはならない。
「現在のサプライチェーンは国内だけでなくグローバルに広がっており、当該国のガイドラインや法規制に対応しているかどうかが、ビジネスの取引条件となります。たとえば、EUのサイバーレジリエンス法(EU Cyber Resilience Act) など新しい法令に対応できていないと、EUと取引のある製造業などでは製品や部材を輸出できないといった問題も懸念されています」(小林氏)
サイバーセキュリティのガイドラインや法規制への対応は、いまやサプライチェーンにおいて当たり前のルールとしてグローバルに浸透しており、各国のビジネスへの「参加資格」や「パスポート」となりつつあるのだ。企業としては新たなセキュリティの脅威に備えるだけではなく、ビジネス継続の観点からも各国や地域の動向をアンテナ高く注視し、適切な対応を進めていかなければならない。
ビジネス目標に追随するセキュリティ戦略全般をトップダウンで支援
ところが当事者である企業では、「何から始めればよい?」「どこまで行えばよい?」といった悩みを抱えるケースも少なくない。
セキュリティ対策が失敗に陥りやすい原因の1つとして、世間で騒がれている攻撃者の新たな手口を捉え、それを防ぐためのセキュリティ対策を積み上げていく「近視眼的なボトムアップのアプローチ」のみに終始してしまうことが挙げられる。
そこでより重要となるのは、自社のビジネスにとって最適なセキュリティ対策の戦略を立案し、事業部門へと展開していくトップダウンのアプローチである。
前述した様々なガイドラインや法規制に対応しつつ、AIや量子コンピューターの技術を悪用した今後の脅威にも備えていくためには、ビジネス目標(達成したい企業目標やビジネス戦略など)や社会の環境変化なども踏まえた上でロードマップを策定し、着実に進めていくためのマイルストーンに落とし込む必要もある。こうした企業のあるべきセキュリティ対策を支援しているのがキンドリルなのだ。
「私たちはセキュリティに関する上流のコンサルティングから、構築、実装、運用までワンストップで対応しています。当社はIBM時代から30年以上にわたり社会の生命線となる重要システムの運用を担ってきました。こうした世界最大級のITインフラサービス企業だからこその経験と知見を活かして、ビジネス目標の達成からガイドライン対応までセキュリティ戦略全般を一貫して支援できるのが強みです」(小林氏)
実際、セキュリティ対策の構想策定や戦略コンサルティング、SOCサービス、ソリューション提供、クラウドサービスなど、それぞれ得意分野をもつベンダーは数多いが、そのすべてを横串で見ることができるセキュリティサービス企業は限られている。
起こった事象の関連性や相関性なども考えると、インフラ全体を横串で見ていくことがセキュリティ対応では肝となる。裏を返せば、それらがサイロ化された状態は初動が遅れる原因となり、被害を拡大してしまうことにもなりかねない。
そうした中、キンドリルとタッグを組むことで、企業は世の中の動向に合わせて自社のセキュリティ対策をアップデートし、自社ビジネスの優位性やレジリエンスを高めていくことが可能になるだろう。
